Building a Cybersecurity Compliance Program

Share:

We Bought All These Cybersecurity Tools. Now What?

In recent years, 各公司已经收购了大量网络安全工具,以应对不断演变的威胁. 黑客们已经变得越来越老练,公司也开始在安全产品和解决方案上砸钱,以防止他们在新闻中听到的最常见的攻击.

A few trends have converged. For one, 远程工作者数量的增加促使公司管理终端用户设备的方式发生了重大变化. 这迫使基本的反病毒解决方案成为受管理的检测和响应(MDR)平台. 各种规模和行业的公司都不得不对基础设施和应用程序采用漏洞扫描器. 企业采用复杂的网络技术,如SD-WAN和SD-LAN,以及将工作负载迁移到云,使得企业管理其安全堆栈的方式更加复杂. 许多人选择了快速采用SASE、XDR、CASB和其他“解决方案”,这些解决方案多得无法命名. 这一切的背后是身份管理的马蜂窝.

研究表明,改进网络安全的工具的扩散正在消耗大量的安全预算,并且将继续增长. 到2024年,企业在网络安全工具和技术上的支出可能超过惊人的1000亿美元.

Cybersecurity-Compliance-Tools-1
Source: Statista. 2021. Used with Permission

Despite these investments, 公司继续以惊人的速度遭遇安全事故. We believe this is because of a failure to properly define, implement and execute a closed loop compliance process.

Cybersecurity Compliance Challenges

随着企业加快数字转型计划,并将越来越多的工作负载转移到云上, a considerable gap is emerging in compliance. 采用敏捷实践所带来的变化速度使问题更加复杂. 当IT组织忽视健壮遵从性所需的基本阻塞和处理时, they often face increased risk of a security breach. 漏洞管理程序仅仅和授予的过程一样好, documenting and continually reviewing exceptions to patching policies.

Many companies struggle to minimize exceptions. For example, 产品团队经常拒绝清理他们的代码,因为他们面临着满足开发要求的压力,并且允许异常无限期地存在. 过度例外的另一种常见情况是,车间经理试图平衡准时生产和交付与合同服务目标和所需的维护窗口.

使问题更加复杂的是,企业缺乏对弹性的关注,以及在发生严重事件时迅速恢复的需要.  

Assess Your Compliance Capabilities

To be sure, investing in tools is a component of the compliance lifecycle. However, e尊国际经常看到公司忽略周期的持续审查部分,并遭受不良的卫生状况, leading to breaches that are entirely preventable. 在采用多提供者模型交付IT服务的组织中,这个问题似乎特别严重, 供应商将实现遵从性的努力最小化,并限制其控制下的平台的责任. 在过去的18个月里,e尊国际看到许多CISO组织在这个问题上挣扎.

ISG可以帮助您识别服务交付模型中的遵从性问题和差距. We help enterprises improve their compliance programs in three steps:

  1. 分析安全操作模型,漏洞管理和合规性程序.
  2. 利用IP和ISG的最佳实践合同数据库,快速解决即时的合规差距,并帮助实现一个闭环合规流程.
  3. 制定战略路线图,使合规职能与CISO的任务保持一致, 确保在生态系统中的所有平台和供应商之间建立一个有凝聚力的遵从性程序.

Contact us 来看看e尊国际如何帮助你评估你现在的位置以及你需要去哪里.

About the author

Doug目前领导ISG网络安全部门,并提供网络安全战略方面的专业知识, large scale transformation projects,  infrastructure, Digital enablement,  relationship management, and service delivery. Doug在生命科学领域与全球客户合作多年,客户受益于他的专业知识, automotive manufacturing, aerospace, banking, insurance, financial services, healthcare, utilities and retail industries, 以及他对服务提供商市场的深入和当前的知识.  Doug定期执行战略和评估约定,以帮助客户理解如何选择最佳的组织和操作模型,以满足他们的业务需求,同时最大限度地减少安全暴露和损失风险.

LinkedIn Profile

Share: